Introduction aux réseaux
Valeur d’accueil et de reconversion en informatique (VARI1) Daniel Porumbel ([email protected])
http://cedric.cnam.fr/~porumbed/vari1/
Plan
1 La base de l’Internet : la pile TCP/IP
2 Quelques problématiques de sécurité Exemples de vulnérabilités
Mécanismes de protection : cryptographie et pare-feux
2/25
Les adresses IP
Toute machine connectée possède uneadresse IP exemples :10.0.0.1,163.173.0.1, ou202.2.1.15 C’est comme une plaque d’immatriculation,
sauf qu’on peut avoir plusieurs IPs si on a plusieurs cartes réseaux
ifconfig : afficher notre adresse IP
route -n =⇒ afficher l’IP de lapasserelle par défaut ex., une box ADSL qui nous connecte à l’Internet
ping 163.173.228.2=⇒tester si la machine d’adresse IP 163.173.228.2est active
traceroute google.fr=⇒ voir les machines/routeurs qui nous relient à la machinegoogle.fr(en Californie)
Un message est transféré de routeur en routeur (une dizaine de routeurs sont traversés) pour l’acheminer àgoogle.fr
Les adresses IP
Toute machine connectée possède uneadresse IP exemples : 10.0.0.1, 163.173.0.1, ou 202.2.1.15 C’est comme une plaque d’immatriculation,
sauf qu’on peut avoir plusieurs IPs si on a plusieurs cartes réseaux
ifconfig : afficher notre adresse IP
route -n =⇒ afficher l’IP de lapasserelle par défaut ex., une box ADSL qui nous connecte à l’Internet
ping 163.173.228.2=⇒tester si la machine d’adresse IP 163.173.228.2est active
traceroute google.fr=⇒ voir les machines/routeurs qui nous relient à la machinegoogle.fr1(en Californie)
Un message est transféré de routeur en routeur (une dizaine de routeurs sont traversés) pour l’acheminer àgoogle.fr 1. Utiliserwww.iplocation.netpour voir la location géographique des routeurs.
3/25
Commandes Réseau Linux
La commandeifconfigaffiche oumodifiel’IP
sudo ifconfig eth0 10.0.0.1/8 =⇒nouvelle IP2 Si le réseau utilise un service/serveur DHCP (Dynamic Host Configuration Protocol), l’IP est configuré automatiquement (ou avecdhclient), et non pas avecifconfig
En plus d’une adresse IP, la machine possède une adresse de diffusion (en. : broadcast) qui désigne toutes les ma- chines du (sous-)réseau
La commandessh SERVEUR permet de se connecter à la machineSERVEUR en mode console
L’option −X desshpermet d’afficher les commandes gra- phiques sur le serveur d’affichage (X) de la machine locale
2. Il faut parfois taper “stop network-manager” pour arrêter le gestion- naire graphique de réseaux, sinon il peut annuler l’effet d’ifconfig.
Commandes Réseau Linux
La commandeifconfigaffiche oumodifiel’IP
sudo ifconfig eth0 10.0.0.1/8 =⇒nouvelle IP2 Si le réseau utilise un service/serveur DHCP (Dynamic Host Configuration Protocol), l’IP est configuré automatiquement (ou avecdhclient), et non pas avecifconfig
En plus d’une adresse IP, la machine possède une adresse de diffusion (en. : broadcast) qui désigne toutes les ma- chines du (sous-)réseau
La commandessh SERVEUR permet de se connecter à la machineSERVEUR en mode console
L’option −X desshpermet d’afficher les commandes gra- phiques sur le serveur d’affichage (X) de la machine locale
2. Il faut parfois taper “stop network-manager” pour arrêter le gestion- naire graphique de réseaux, sinon il peut annuler l’effet d’ifconfig.
4/25
La pile TCP/IP
Quatre couches de protocoles qui s’ap- puient sur la couche physique :
1 Couche Ap- plications (navigateurs Web, ssh, FTP)
2 Couche Transport (TCP/UDP)
3 Couche IP/Ré- seaux
4 Couche Liaison
Machine
A Routeur Routeur
Application
Transport
IP/Réseau
Liaison
Application
Transport
IP/Réseau
Liaison IP/Réseau IP/Réseau
machine-vers-machine
Liaison Liaison
Fibre,
Satellite, Ethernet
Flux de données Topologie Réseau
Ethernet
application-application
Machine B
La Couche Applications
Application
Transport
Application
Transport
IP/Réseau
Liaison
IP/Réseau
Liaison IP/Réseau IP/Réseau
Liaison Liaison
Fibre, Satellite
Ethernet Ethernet
msg http msg ssh
À la couche Applications on s’intéressent aux :
programmes pour l’utilisateur (navigateur web, ssh) la cryptographie
protocoles dits de haut niveau (http,https,ftp,telnet) On ne s’intéressent pas aux routeurs et passerelles qui re- lient les machines,ni au câbles/connecteurs physiques : ces aspects sontla tache des couches inférieures
6/25
La Couche Applications
Application Application
Transport Transport
IP/Réseau
Liaison
IP/Réseau
Liaison IP/Réseau IP/Réseau
Liaison Liaison
Fibre, Satellite
Ethernet Ethernet
msg http msg ssh
À la couche Applications on s’intéressent aux :
programmes pour l’utilisateur (navigateur web, ssh) la cryptographie
protocoles dits de haut niveau (http,https,ftp,telnet) On ne s’intéressent pas aux routeurs et passerelles qui re- lient les machines,ni au câbles/connecteurs physiques : ces aspects sontla tache des couches inférieures
La couche Transport
Application
Transport
IP/Réseau
Liaison
Application
IP/Réseau
Liaison IP/Réseau IP/Réseau
Liaison Liaison
Fibre, Satellite Ethernet
Transport
Ethernet
1 2 3
Lemessagede la couche Application est découpé en seg- mentsde type TCP (avec connexion) ou UDP (sans connexion) La communication utilise dessockets
unesocket=une machine(IP)+unport, ex.10.0.0.1:80 un port≈case courrier dans une institution (machine) Exemple de connexion àcedric.cnam.fr:80vianetcat
netcat cedric.cnam.fr 80<<<"get /"
La transmission TCP ou UDP ne s’intéresse pas aux rou- teurs qui assurent la liaison entre les deux machines
7/25
La couche Transport
Application
Transport
IP/Réseau
Liaison
Application
IP/Réseau
Liaison IP/Réseau IP/Réseau
Liaison Liaison
Fibre, Satellite Ethernet
Transport
Ethernet
1 2 3
Lemessagede la couche Application est découpé en seg- mentsde type TCP (avec connexion) ou UDP (sans connexion) La communication utilise dessockets
unesocket=une machine(IP)+unport, ex.10.0.0.1:80 un port≈case courrier dans une institution (machine) Exemple de connexion àcedric.cnam.fr:80vianetcat
netcat cedric.cnam.fr 80<<<"get /"
La transmission TCP ou UDP ne s’intéresse pas aux rou- teurs qui assurent la liaison entre les deux machines
La couche Transport
Application Application
Transport Transport
IP/Réseau
Liaison
IP/Réseau
Liaison IP/Réseau IP/Réseau
Liaison Liaison
Fibre, Satellite
Ethernet Ethernet
1 2 3
Lemessagede la couche Application est découpé en seg- mentsde type TCP (avec connexion) ou UDP (sans connexion) La communication utilise dessockets
unesocket=une machine(IP)+unport, ex.10.0.0.1:80 un port≈case courrier dans une institution (machine) Exemple de connexion àcedric.cnam.fr:80vianetcat
netcat cedric.cnam.fr 80<<<"get /"
La transmission TCP ou UDP ne s’intéresse pas aux rou- teurs qui assurent la liaison entre les deux machines
7/25
La couche Réseaux
Application
Transport
IP/Réseau
Liaison
Application
IP/Réseau
Liaison IP/Réseau IP/Réseau
Liaison Liaison
Fibre, Satellite Ethernet
Transport
Ethernet
1 2
3
Couche transport : segment envoyé deAversB
=⇒
Couche réseau : transfertA→A1→A2→A3. . . .· · · →B Chaque routeur peut “cacher” un pirate qui écoute la com- munication
La couche réseau (ou couche IP) gère la circulation des paquetsà travers le réseau en assurant leur routage.
La couche Liaison
Application
Transport
IP/Réseau
Liaison
Application
IP/Réseau
Liaison IP/Réseau IP/Réseau
Liaison Liaison
Fibre, Satellite Ethernet
Transport
Ethernet 1
2 3
La coucheliaisonindique comment les paquets sont trans- portés sur la couche physique (Ethernet/Wifi)
L’en-tête des trames Ethernet comporte l’adresseMACdes- tination (MAC=adresse physique carte réseau)
Leprotocole ARPfait la connexion IP →MAC.
Etant donnée une adresse IP de notre sous-réseau, quelle est son adresse MAC ? La commande arp -n affiche les MACs connus par notre machine
9/25
Exemple d’utilisation couche Applications
Pour aller surwww.cnam.fr:
1 Le navigateur web demande au service DNS (Domain Name Server) l’adresse IP du serveurwww.cnam.fr
C’est comme si on tapaitdig www.cnam.fr
2 Le DNS retourne163.173.128.40par exemple.
3 Le navigateur envoie une requête HTTP à cette adresse IP
4 Le serveur web répond avec un fichierhtml(⊕des scripts javascriptéventuellement)
La communication passe par une connexion TCP sur le port 80 dewww.cnam.fr(port supérieur à 1024 pour la machine locale)
Le site peut demander de déposer un cookiequi stocke une valeur dans le navigateur. Cette valeur peut être demandée plus tard au navigateur, ex, pour faire du pistage (publicitaire).
Exemple d’utilisation couche Applications
Pour aller surwww.cnam.fr:
1 Le navigateur web demande au service DNS (Domain Name Server) l’adresse IP du serveurwww.cnam.fr
C’est comme si on tapaitdig www.cnam.fr
2 Le DNS retourne163.173.128.40par exemple.
3 Le navigateur envoie une requête HTTP à cette adresse IP
4 Le serveur web répond avec un fichierhtml(⊕des scripts javascriptéventuellement)
La communication passe par une connexion TCP sur le port 80 dewww.cnam.fr(port supérieur à 1024 pour la machine locale)
Le site peut demander de déposer un cookiequi stocke une valeur dans le navigateur. Cette valeur peut être demandée plus tard au navigateur, ex, pour faire du pistage (publicitaire).
10/25
Exemple d’utilisation couche Applications
Pour aller surwww.cnam.fr:
1 Le navigateur web demande au service DNS (Domain Name Server) l’adresse IP du serveurwww.cnam.fr
C’est comme si on tapaitdig www.cnam.fr
2 Le DNS retourne163.173.128.40par exemple.
3 Le navigateur envoie une requête HTTP à cette adresse IP
4 Le serveur web répond avec un fichierhtml(⊕des scripts javascriptéventuellement)
La communication passe par une connexion TCP sur le port 80 dewww.cnam.fr(port supérieur à 1024 pour la machine locale)
Le site peut demander de déposer un cookiequi stocke une valeur dans le navigateur. Cette valeur peut être demandée plus tard au navigateur, ex, pour faire du pistage (publicitaire).
Exemple d’utilisation couche Applications
Pour aller surwww.cnam.fr:
1 Le navigateur web demande au service DNS (Domain Name Server) l’adresse IP du serveurwww.cnam.fr
C’est comme si on tapaitdig www.cnam.fr
2 Le DNS retourne163.173.128.40par exemple.
3 Le navigateur envoie une requête HTTP à cette adresse IP
4 Le serveur web répond avec un fichierhtml(⊕des scripts javascriptéventuellement)
La communication passe par une connexion TCP sur le port 80 dewww.cnam.fr(port supérieur à 1024 pour la machine locale)
Le site peut demander de déposer un cookiequi stocke une valeur dans le navigateur. Cette valeur peut être demandée plus tard au navigateur, ex, pour faire du pistage (publicitaire).
10/25
Exemple d’utilisation couche Applications
Pour aller surwww.cnam.fr:
1 Le navigateur web demande au service DNS (Domain Name Server) l’adresse IP du serveurwww.cnam.fr
C’est comme si on tapaitdig www.cnam.fr
2 Le DNS retourne163.173.128.40par exemple.
3 Le navigateur envoie une requête HTTP à cette adresse IP
4 Le serveur web répond avec un fichierhtml(⊕des scripts javascriptéventuellement)
La communication passe par une connexion TCP sur le port 80 dewww.cnam.fr(port supérieur à 1024 pour la machine locale)
Le site peut demander de déposer un cookiequi stocke une valeur dans le navigateur. Cette valeur peut être demandée plus tard au navigateur, ex, pour faire du pistage (publicitaire).
Couche Application : le DNS (nom → IP)
Le service DNS est très souvent utilisé pour trouver les adresses IP des machines/sites.
Si on tapeping vlad.cnam.fr:
Le serveurDNS de la machine est interrogé : Voir/etc/resolv.confsous Linux
Utiliser /etc/hosts pour accélérer la navigation web : plus besoin d’attendre la réponse TCP/UDP du serveur DNS Le serveur DNS a deux options :
1 Il renvoie l’adresse IPs’il a cette informationOU
2 Demande cette information à un serveur DNS de niveau su- périeur
Vulnérabilité : ce processus n’est pas trop sécurisé⇒ si la réponse DNS est fausse, la navigation Web est compromise
à savoir : pas de cryptographie par défaut pour le DNS UDP : pas de cryptographie, mais possible de sécuriser le DNS via TCP
11/25
Couche Application : le DNS (nom → IP)
Le service DNS est très souvent utilisé pour trouver les adresses IP des machines/sites.
Si on tapeping vlad.cnam.fr:
Le serveurDNS de la machine est interrogé : Voir/etc/resolv.confsous Linux
Utiliser /etc/hosts pour accélérer la navigation web : plus besoin d’attendre la réponse TCP/UDP du serveur DNS Le serveur DNS a deux options :
1 Il renvoie l’adresse IPs’il a cette informationOU
2 Demande cette information à un serveur DNS de niveau su- périeur
Vulnérabilité : ce processus n’est pas trop sécurisé⇒ si la réponse DNS est fausse, la navigation Web est compromise
à savoir : pas de cryptographie par défaut pour le DNS UDP : pas de cryptographie, mais possible de sécuriser le DNS via TCP
Plan
1 La base de l’Internet : la pile TCP/IP
2 Quelques problématiques de sécurité Exemples de vulnérabilités
Mécanismes de protection : cryptographie et pare-feux
12/25
1 La base de l’Internet : la pile TCP/IP
2 Quelques problématiques de sécurité Exemples de vulnérabilités
Mécanismes de protection : cryptographie et pare-feux
Exemple : Phishing
Attaque facile à base d’ingénierie sociale (social engineering) Envoyer à la victime une page web/mail identique à celui d’un site de confiance (la banque de la victime) et lui de- mander des mots de passe
Cibles populaires : banques, amazon, paypal, ebay Leçons :
vérifier l’adresse web dans la barre d’adresse du navigateur vérifier que la liaisionhttpsest cor-
rectement établie, c.à.d.,pas de pro- blèmeavecle certificat de sécurité
Si le DNS ne fonctionne pas correctement, lehttppeut se tromper d’adresse IP (maispaslehttpset son certificat) Le protocole de mail (SMTP) ne garantitpaset ne vérifiepas l’adresse email d’un expéditeur
pas trop dur d’envoyer un email avec expéditeurbill.gates@
microsoft.com
14/25
Exemple : Phishing
Attaque facile à base d’ingénierie sociale (social engineering) Envoyer à la victime une page web/mail identique à celui d’un site de confiance (la banque de la victime) et lui de- mander des mots de passe
Cibles populaires : banques, amazon, paypal, ebay Leçons :
vérifier l’adresse web dans la barre d’adresse du navigateur vérifier que la liaisionhttpsest cor-
rectement établie, c.à.d.,pas de pro- blèmeavecle certificat de sécurité
Si le DNS ne fonctionne pas correctement, lehttppeut se tromper d’adresse IP (maispaslehttpset son certificat) Le protocole de mail (SMTP) ne garantitpaset ne vérifiepas l’adresse email d’un expéditeur
pas trop dur d’envoyer un email avec expéditeurbill.gates@
microsoft.com
Exemple : Phishing
Attaque facile à base d’ingénierie sociale (social engineering) Envoyer à la victime une page web/mail identique à celui d’un site de confiance (la banque de la victime) et lui de- mander des mots de passe
Cibles populaires : banques, amazon, paypal, ebay Leçons :
vérifier l’adresse web dans la barre d’adresse du navigateur vérifier que la liaisionhttpsest cor-
rectement établie, c.à.d.,pas de pro- blèmeavecle certificat de sécurité
Si le DNS ne fonctionne pas correctement, lehttppeut se tromper d’adresse IP (maispaslehttpset son certificat) Le protocole de mail (SMTP) ne garantitpaset ne vérifiepas l’adresse email d’un expéditeur
pas trop dur d’envoyer un email avec expéditeurbill.gates@
microsoft.com
14/25
Pirater les mails des eurodéputés : un “jeu d’enfant”
selon un pirate cité par médiapart (2013)
“Avec un ordinateur portable bas de gamme équipé du wifi et des connaissances que tout le monde est capable de trouver sur internet, n’importe qui est capable de faire la même chose”
1 il s’est installé dans un lieu public à proximité du parlement
2 il s’est arrangé pour que les téléphones mobiles des gens se trouvant à portée passent par le wifi de son ordinateur pour se connecter à internet
3 le trafic des téléphones est détournée, mais les applications sécurisées se rendent compte du problème
le téléphone affiche un message abscons, mais beaucoup d’utilisateurs cliquent OKsans le lire
cela permet au pirate de récupérer des mots de passe
Attention aux failles de programmation
Les pirates cherchent souvent des failles dans les implémentations des protocoles. ExempleC :
Rappel :Linux, Win- dows et Mac OS sont écrits enC
v o i d main ( ) {
char c h a i n e C a r a c t [ 5 ] ; / / t a b l e a u de 5 char g e t s( c h a i n e C a r a c t ) ; / / l e c t u r e c h a i n e
p r i n t f( c h a i n e C a r a c t ) ; / / a f f i c h a g e c h a i n e
}
Problème : si on saisit une chaine de plus de 5 caractères
=⇒ la fonctiongets(...)essaye d’écrire au delà des cases mémoires dechaineCaract
=⇒ Erreurbuffer overflow, dépassement de tampon/mémoire Ce type de problèmes apparaît très souvent lors de la réception de paquets réseaux
au lieu degets(...)on peut avoir une lecture réseau
16/25
Attention aux failles de programmation
Les pirates cherchent souvent des failles dans les implémentations des protocoles. ExempleC :
Rappel :Linux, Win- dows et Mac OS sont écrits enC
v o i d main ( ) {
char c h a i n e C a r a c t [ 5 ] ; / / t a b l e a u de 5 char g e t s( c h a i n e C a r a c t ) ; / / l e c t u r e c h a i n e
p r i n t f( c h a i n e C a r a c t ) ; / / a f f i c h a g e c h a i n e
}
Problème : si on saisit une chaine de plus de 5 caractères
=⇒ la fonctiongets(...)essaye d’écrire au delà des cases mémoires dechaineCaract
=⇒ Erreurbuffer overflow, dépassement de tampon/mémoire Ce type de problèmes apparaît très souvent lors de la réception de paquets réseaux
au lieu degets(...)on peut avoir une lecture réseau
Attention aux failles de programmation
Les pirates cherchent souvent des failles dans les implémentations des protocoles. ExempleC :
Rappel :Linux, Win- dows et Mac OS sont écrits enC
v o i d main ( ) {
char c h a i n e C a r a c t [ 5 ] ; / / t a b l e a u de 5 char g e t s( c h a i n e C a r a c t ) ; / / l e c t u r e c h a i n e
p r i n t f( c h a i n e C a r a c t ) ; / / a f f i c h a g e c h a i n e
}
Problème : si on saisit une chaine de plus de 5 caractères
=⇒ la fonctiongets(...)essaye d’écrire au delà des cases mémoires dechaineCaract
=⇒ Erreurbuffer overflow, dépassement de tampon/mémoire Ce type de problèmes apparaît très souvent lors de la réception de paquets réseaux
au lieu degets(...)on peut avoir une lecture réseau
16/25
Exemple : le ping de la mort
Attaque historique réalisée par un paquetping malformé Un ping a normalement une taille de 56 octets → risques dépassement de mémoire pour des paquets plus grands
Ce dépassement de mémoire provoquait un crash sur plu- sieurs OS (Windows/Linux)
Un simpleping pouvait provoquer un crash d’une machine cible (Unix, Linux, MacOS, Windows)
1 La base de l’Internet : la pile TCP/IP
2 Quelques problématiques de sécurité Exemples de vulnérabilités
Mécanismes de protection : cryptographie et pare-feux
18/25
Notions de cryptographie
Objectif de la cryptographie :la confidentialité
protéger les messages contre la lecture non autorisée Exemple :Une chaîne de télévision payante
De nombreux problèmes sont évités par cryptographie L’administrateur réseau (ou le fournisseur Internet) ne voit plus les messages que vous échangez
Exemple de code par décalage (César).La clé vaut 6 !
Notions de cryptographie
Objectif de la cryptographie :la confidentialité
protéger les messages contre la lecture non autorisée Exemple :Une chaîne de télévision payante
De nombreux problèmes sont évités par cryptographie L’administrateur réseau (ou le fournisseur Internet) ne voit plus les messages que vous échangez
Exemple de code par décalage (César).La clé vaut 6 ! Le texte chiffré s’obtient en rem- plaçant chaque lettre du texte clair original par une lettre à dis- tance fixe (cléde décalage) Exemple codage avec clé=6 : ciao toto→iogu zuzu décodage avec clé=6 : iogu zuzu→ciao toto
Les lettres de la roue exté- rieure sont remplacées par celles de la roue intérieure
19/25
Notions de cryptographie
Objectif de la cryptographie :la confidentialité
protéger les messages contre la lecture non autorisée Exemple :Une chaîne de télévision payante
De nombreux problèmes sont évités par cryptographie L’administrateur réseau (ou le fournisseur Internet) ne voit plus les messages que vous échangez
Exemple de code par décalage (César).La clé vaut 6 ! Le texte chiffré s’obtient en rem- plaçant chaque lettre du texte clair original par une lettre à dis- tance fixe (cléde décalage) Exemple codage avec clé=6 : ciao toto→iogu zuzu décodage avec clé=6 : iogu zuzu→ciao toto
Notions de cryptographie
Objectif de la cryptographie :la confidentialité
protéger les messages contre la lecture non autorisée Exemple :Une chaîne de télévision payante
De nombreux problèmes sont évités par cryptographie L’administrateur réseau (ou le fournisseur Internet) ne voit plus les messages que vous échangez
Exemple de code par décalage (César).La clé vaut 6 ! Le texte chiffré s’obtient en rem- plaçant chaque lettre du texte clair original par une lettre à dis- tance fixe (cléde décalage) Exemple codage avec clé=6 : ciao toto→iogu zuzu décodage avec clé=6 : iogu zuzu→ciao toto
19/25
Cassage du codage César
Soit le message codé :
Uyi n’emqi e jemvi gsrreixvi gi rsqfvi yxmpi eyb wekiw
Deux idées pour décoder :
Il y a très peu de mots d’une seule lettre en français : a, y
=⇒ a→e (clé=4) ou y →e (clé=-20)
La plus fréquente lettre en français est “e”. La plus fréquente lettre du texte est “i”, donc
e→
i (clé=4)
Avec une clé de 4 on obtient :
Que j’aime à faire connaitre ce nombre utile aux sages
Cassage du codage César
Soit le message codé :
Uyi n’emqi e jemvi gsrreixvi gi rsqfvi yxmpi eyb wekiw
Deux idées pour décoder :
Il y a très peu de mots d’une seule lettre en français : a, y
=⇒ a→e (clé=4) ou y →e (clé=-20)
La plus fréquente lettre en français est “e”. La plus fréquente lettre du texte est “i”, donc
e→
i (clé=4)
Avec une clé de 4 on obtient :
Que j’aime à faire connaitre ce nombre utile aux sages
20/25
Cassage du codage César
Soit le message codé :
Uyi n’emqi e jemvi gsrreixvi gi rsqfvi yxmpi eyb wekiw
Deux idées pour décoder :
Il y a très peu de mots d’une seule lettre en français : a, y
=⇒ a→e (clé=4) ou y →e (clé=-20)
La plus fréquente lettre en français est “e”. La plus fréquente lettre du texte est “i”, donc
e→
i (clé=4)
Avec une clé de 4 on obtient :
Que j’aime à faire connaitre ce nombre utile aux sages
Cassage du codage César
Soit le message codé :
Uyi n’emqi e jemvi gsrreixvi gi rsqfvi yxmpi eyb wekiw
Deux idées pour décoder :
Il y a très peu de mots d’une seule lettre en français : a, y
=⇒ a→e (clé=4) ou y →e (clé=-20)
La plus fréquente lettre en français est “e”. La plus fréquente lettre du texte est “i”, donc
e→
i (clé=4)
Avec une clé de 4 on obtient :
Que j’aime à faire connaitre ce nombre utile aux sages
20/25
Clés symétriques et asymétriques
Cryptographiesymétrique: uneseule clé secrète
La même clé secrète utilisée pour coderetdécoder un nombre<30 pour le code de César
>128 bits pour AES (Advanced Encryption Standard) Quasi-impossible de décoder un message codé si on n’a pas cette clé secrète (AES)
Lehttpscode les données avec une clé symétrique le plus difficile est de générer uneclé symétrique secrète!
Cryptographieasymétrique: uneclé publique⊕clé privée Un message codé par la clé publique peut être décodéuni- quementpar la clé privé
Un message codé par la clé privé peut être décodéunique- mentpar la clé publique
Algo utilisé fréquemment : RSA (Rivest-Shamir-Adleman)
Clés symétriques et asymétriques
Cryptographiesymétrique: uneseule clé secrète
La même clé secrète utilisée pour coderetdécoder
Quasi-impossible de décoder un message codé si on n’a pas cette clé secrète (AES)
Lehttpscode les données avec une clé symétrique le plus difficile est de générer uneclé symétrique secrète!
Cryptographieasymétrique: uneclé publique⊕clé privée Un message codé par la clé publique peut être décodéuni- quementpar la clé privé
Un message codé par la clé privé peut être décodéunique- mentpar la clé publique
Algo utilisé fréquemment : RSA (Rivest-Shamir-Adleman)
21/25
https : les données echangées par navigateur web et le serveur sont codées par uneclé symétrique secrètedéterminée au début :
1 le navigateur génère laclé symétrique secrète(aléatoire)
2 le navigateur code laclé symétrique secrèteavec laclé pu- blique du serveuret envoie le message codé au serveur
3 Le serveur décode le message (c’est le seul qui peut faire cela) et récupère laclé symétrique secrète
Comment être certain d’avoir la bonneclé publique du serveur
1 le serveur envoie au navigateur un certificat de sécurité (avec laclé publique du serveur+identité serveur+. . .)
2 ce certificat est codé avec la clé privé d’une Autorité de Cer- tification (AC)
3 le certificat est décodé avec la clé publique de l’AC, connue par tout navigateur
La clé publique de l’AC peut ouvrir uniquement des mes- sages codés par la clé privé associé (celle de l’AC)
https : les données echangées par navigateur web et le serveur sont codées par uneclé symétrique secrètedéterminée au début :
1 le navigateur génère laclé symétrique secrète(aléatoire)
2 le navigateur code laclé symétrique secrèteavec laclé pu- blique du serveuret envoie le message codé au serveur
3 Le serveur décode le message (c’est le seul qui peut faire cela) et récupère laclé symétrique secrète
Comment être certain d’avoir la bonneclé publique du serveur
1 le serveur envoie au navigateur un certificat de sécurité (avec laclé publique du serveur+identité serveur+. . .)
2 ce certificat est codé avec la clé privé d’une Autorité de Cer- tification (AC)
3 le certificat est décodé avec la clé publique de l’AC, connue par tout navigateur
La clé publique de l’AC peut ouvrir uniquement des mes- sages codés par la clé privé associé (celle de l’AC)
https : les données echangées par navigateur web et le serveur sont codées par uneclé symétrique secrètedéterminée au début :
1 le navigateur génère laclé symétrique secrète(aléatoire)
2 le navigateur code laclé symétrique secrèteavec laclé pu- blique du serveuret envoie le message codé au serveur
3 Le serveur décode le message (c’est le seul qui peut faire cela) et récupère laclé symétrique secrète
Comment être certain d’avoir la bonneclé publique du serveur
1 le serveur envoie au navigateur un certificat de sécurité (avec laclé publique du serveur+identité serveur+. . .)
2 ce certificat est codé avec la clé privé d’une Autorité de Cer- tification (AC)
3 le certificat est décodé avec la clé publique de l’AC, connue par tout navigateur
La clé publique de l’AC peut ouvrir uniquement des mes- sages codés par la clé privé associé (celle de l’AC)
Et avec le protocole ssh
Il n’y a plus d’Autorité de Certification Authentifier la clé publique du serveur
Lors d’une première connexion, un message de confirma- tion est envoyé au client
On demande au client de faire confiance à une clé publique le résumé de la clé est affiché
The authenticity of host ’vlad.cnam.fr’ can’t be established.
RSA key fingerprint is 6f:e1:07:36:42:b2:0b:36:90:67:31:31:c7:5f:3c:f9.
Are you sure you want to continue connecting (yes/no)? no
23/25
Les pares-feu : Introduction
Imagedueànanssou.com
Objectif pare-feu/firewall : séparer le réseau internedes dan- gers (paquets/trames dangereuses)du monde Internet Le pare-feu est souvent unfiltre de paquets(iptables)
Les pares-feu
SMTP www
DNS
Réseau Interne
Passerelle vers Internet
Parefeu 1
Parefeu 2
Zone Démilitarisée
Chaque sous-réseau peut avoir son propre pare-feu
Certains services ont besoin de plus d’accès et ne peuvent pas être trop isolés⇒ ils sont mis dans unezone démilita- risée(DMZ)
Au CNAM : possible de se connecter depuis l’extérieur à www.cnam.fr(DMZ), mais impossible de se connecter aux machines des salles TP (bien qu’elles aient des IPs publiques)
25/25
